CA证书踩得坑

最新推荐文章于 2024-01-27 17:59:21 发布
最新推荐文章于 2024-01-27 17:59:21 发布
阅读量1.7k 收藏 2
点赞数
文章标签: ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QQ736238785/article/details/115852823
版权

CA证书

什么是证书?

英文叫 “pubilci key certificate”,可以简单理解成 公章,公司自己的公章就是为了证明自己是真实的,如果有人伪造怎么办?毕竟骗子还是挺多的。

什么是CA?

英文名叫“Certificate Authority” 的缩写,也叫“证书授权中心”。可以理解成权威机构,没有人可以伪造权威机构的证书。

什么是CA证书?

就是CA颁发的证书,具有权威性,大家都认可和相信。

如何看CA证书?

image-20210419060850726

image-20210419062425378

image-20210419062323666

image-20210419062358034

坑一:配置server.xml (PFX证书的)

<Connector port="443"
    protocol="org.apache.coyote.http11.Http11NioProtocol" 
    
    #此处,官方文档为Http/1.1,笔者测试时不成功,故更换了本文中的协议
    
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="domain name.pfx"   
    #此处keystoreFile代表证书文件的路径,请用您证书的文件名替换domain name。
    keystoreType="PKCS12"
    keystorePass="证书密码"   #请用您证书密码替换文件中的内容。
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
    TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

坑二: HTTPS调试中自签名证书错误ERR_CERT_COMMON_NAME_INVALID的解决方法

image-20210419061349378

解决方法
生成证书的时候需要添加上备用名称(subjectAltName)扩展字段。
使用openssl添加subjectAltName扩展;
创建一个文件ext.ini,填入以下内容:

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.dyxmq.cn
DNS.2 = *.maqian.xin
DNS.3 = *.maqian.io
DNS.4 = *.maqian.co
DNS.5 = *.maqian.cn

在DNS.x的地方填写上自己的域名,如果多个域名,可以按照规律DNS.1/DNS.2/DNS.3/…来添加,同时还支持IP地址的形式,填入IP.1 = x.x.x.x就可以了。

签发证书的时候带上参数:

openssl x509 ... -extfile ext.ini

证书安装失败的排查思路

无非就是两方面

  • 一方面是server 配置的有问题,一定要注意是什么后缀名的证书,不同的文件对应的配置文件也不同
  • 另外一方面是就是证书本身的问题,可以通过浏览器上的证书详情信息查看证书是否安全,以及浏览器页面中报错信息详情排查。

有不对的地方,欢迎大家一起讨论。
最后,欢迎大家关注我的微信号,您的点赞,收藏,转发就是对我的最大鼓励。

image.png

参考文章

安装PFX格式证书

HTTPS调试中自签名证书错误ERR_CERT_COMMON_NAME_INVALID的解决方法

创建自签名CA和SSL证书

Tomcat配置SSL证书(PFX证书)

CA 证书扫盲,https 讲解

涛涛之海
关注
专栏目录
OpenSSL之十三:证书CA指令
wzfgd的博客
03-09 2575
证书的生成和 CA 指令的应用。
浅谈基于openssl的多级证书,Multi-level CA的签发和管理,以及双向认证
m0_38084180的博客
04-21 4189
最近在研究openssl签发证书,在网上搜索关于openssl的用法、资料等等,总觉得非常分散,而且讲得比较浅,文章虽然不少,但是缺少真正能给你讲的明白得,仅停留在“能用”上,感慨一下,这怎么行,到底是大家也不明白还是秘而不宣呢? 前期建议简单了解下: tls的概念、单向认证和双向认证过程和区别、数字证书CA机构的角色、openssl 1、你是否需要多层证书? 这里面有两个核心的问题: a、你是否需要双向认证? 我见过的商业案例,客户公网访问某个服务,直接自己签发一个证书,放在服务端,客户ht
HTTPS调试中自签名证书错误ERR_CERT_COMMON_NAME_INVALID的解决方法
泛在安防边缘智能视频分析
02-28 1万+
1、问题现象 使用自签名的证书后,chrome报错此服务器无法证实它就是 www.webrtc.cn 它的安全证书没有指定主题备用名称。这可能是因为某项配置有误或某个攻击者拦截了您的连接。 错误码是NET::ERR_CERT_COMMON_NAME_INVALID: 如下图所示: 2、问题原因 生成证书的时候没有加上备用名称字段,目前的浏览器校验证书都需要这个字段。 3、解决方法 生成证书的时候需要添加上备用名称(subjectAltName)扩展字段。 使用openssl添加subjectAltNam
Chrome 自签证书 ERR_CERT_INVALID
foreverhot1019的博客
02-21 1293
Chrome 自签证书 ERR_CERT_INVALID
浏览器常见证书错误 NET::ERR_CERT_AUTHORITY_INVALID、NET::ERR_CERT_COMMON_NAME_INVALID
最新发布
OceanWaves1993的博客
01-27 1万+
报错 NET::ERR_CERT_COMMON_NAME_INVALID 的原因是 URL中输入的域名 192.168.2.135不陪匹配此网站证书的CN项,通常情况下网站证书的CN项 形如:*.xxx.com,代表xxx公司的域名。自签发证书是什么意思呢,就是任何组织或个人都可以使用证书生成工具比如openssl生成自己的证书证书的组织名是自定义的,浏览器不信任这个组织办法的证书是很正常的。浏览器访问某个网站 报错 报错 lNET::ERR_CERT_AUTHORITY_INVALID。
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
u011599033的博客
05-06 3011
准备好目录 生成 CA 2.1 生成私钥 openssl ecparam -genkey -name secp256r1 |openssl ec -out private/ca.key.pem 2.2 使用 ECC 算法生成 256 位 CA 私钥 生成自签署证书,类型由 openssl.cnf 中配置的扩展字段指定为 CA 证书类型 openssl req -config openssl.cnf -key private/ca.key.pem -new -x509 -days 7300 -sha2.
idea+maven学习必踩的--JDK安全证书导入
weixin_41771097的博客
02-26 3170
愁死了怎么办?搞了一通证书导入,但是死活就没有导入成功,深夜4点我静心研究,原来踩了大 1)选择证书证书是同事导出来的cer文件 2)将cer文件复制到%JAVA_HOME%\jre\bin文件夹下,其实可以不用,但是为了导入时少出错,我们将cer文件放在keytool.exe同目录下 3)cmd 命令行导入,admin权限打开cmd 4) 使用如下命令导入 keytool -importce...
HTTP到HTTPS——申请SSL证书并安装过程中踩到的
时梦的博客
09-05 1万+
本文记录了我在把网站从HTTP升级到 HTTPS ,申请和安装SSL证书路上踩过的几个。 安装环境: 操作系统:centos 6 X64 SSL证书来源:Let's Encrypt 安装用脚本:acme.sh 服务器:apache2 我的安装用的脚本,最好分步执行,以免出现问题后仍然尝试安装过期的证书 #!/bin/sh #获得脚本并执行 curl https://get.acme.s...
说说在Apache安装并配置多个https站点中踩过的
咸鱼的博客
03-10 1496
本文仅记录我配置服务器的过程中各种杂七杂八的东西,仅供参考。 一、环境 系统:CentOS 8 服务器:Apache 2.4.37 二、下载 先直接su进入root,免得后面一次次sudo和输密码。 apache安装教程其他帖子很详细,这里简短提一下。 # 安装Apache,-y意思是对所有的问题都回答y yum install httpd -y # 启动服务(还有设置开机自启的命令,懒得查先) ...
openssl命令查看证书有效期_linux下使用openssl检测PE文件数字签名的证书是否有效...
weixin_42128537的博客
02-02 2212
展开全部第一个: 有效62616964757a686964616fe78988e69d8331333335343964期windows在判断证书是否有效时不检测证书的有效期, 即使该证书超过有效期好几年了, 只要没有被吊销, 微软仍然认为它是有效的. 但在 openssl 提供的 X509_verify_cert 函数会验证证书的有效期, 因此需要注释掉验证有效期的那部分代码并重新编译 open...
浏览器显示不安全提示(net::ERR_CERT_COMMON_NAME_INVALID)
weixin_34234823的博客
08-07 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4815
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
数字证书CA详解
热门推荐
lk2684753的博客
08-30 8万+
文章目录1. 证书1.1 证书的应用场景1.2 证书标准规范X.5091.2.1 证书规范1.2.2 证书格式1.2.3 CA证书1.3 公钥基础设施(PKI)1.3.1 什么是公钥基础设施1.3.2 PKI的组成要素用户认证机构(CA)仓库1.3.3 各种各样的PKI2.Fabric - ca2.1 简介2.2 基本组件2.3 安装2.4 初始化&快速启动2.5 服务端配置文件解析2.6...
自己做CA自签名证书生成
cuitone的专栏
02-27 1万+
转载自:https://wangbin.io/blog/it/https-ca.html 自己做CA 最近chrome提示https证书错误,缺少subjectAltName,查了下解决方法,更新下。  一. 简介 之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构,它的根证书被各种操作系统和浏览器内置信任,所以由它签发...
什么是公用名Common Name
lz7955823的专栏
10-17 1万+
公用名Common Name 本文转自[记录无限:www.gluoo.cn]. 公用名(Common Name)一般来讲就是填写你将要申请SSL证书的域名 (domain)或子域名(sub domain)。   例1:打算为“chinassl.net”申请SSL证 书,那这个公用名(Common Name)就要填写“chinassl.net”,而不能填写 “www.ch
vue--key值的特殊用处
大小都是愁的成长之路
04-09 1万+
数组的v-foritem in itemsitem of itemsitem,index in items(item,index) in items 对象的v-for(键值,键名,索引)value in object(value, key) in object(value, key, index) in objectv-for渲染的列表的结构采用“就地复用”的策略,也就说当数据重新排列数...
Chrome HTTPS 您的连接不是私密连接 解决办法
_嗨哥的博客
06-10 6292
之前Chrome访问非私密连接时,点高级就能继续访问 好像是因为最近chrome版本移除了关于ssl配置错误,变成了下面这样 解决办法就是在当前页面用键盘输入 thisisunsafe ,不是在地址栏输入,就直接敲键盘就行了,页面即会自动刷新进入网页。 参考:Chrome您的连接不是私密连接解决办法 ...
Chrome NET::ERR_CERT_AUTHORITY_INVALID 错误分析及处理
Pulp Fiction
10-14 7万+
Chrome NET::ERR_CERT_AUTHORITY_INVALID 错误分析及处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

涛涛之海

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值